免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: nettx
打印 上一主题 下一主题

[网络管理] 【讨论】iptables中的疑难 [复制链接]

论坛徽章:
0
31 [报告]
发表于 2007-05-19 23:54 |只看该作者
唉......
iptables&ipchain,爱你真难.

论坛徽章:
0
32 [报告]
发表于 2007-05-20 09:47 |只看该作者
原帖由 platinum 于 2007-5-19 18:24 发表于 30楼  

sorry,请你说话前先屡清自己的逻辑再说不迟

那份 PPT 本来就是面对新手而写的,OUTPUT 链对他们来说用处不大,且概念容易混淆,若想研究这个可单独自学

既然你认为自己是对的,那么你是从哪看到的资料 ...


既然你是老手那就请你看看这个(这是从novell官网翻译过来的iptables权威文档)
http://security.ccidnet.com/art/1101/20061214/976177_1.html
看完我然后我想请教你个问题:
此文中内网$NET_PRV中一主机192.168.1.10 访问外网中www.sina.com.cn的http服务,那么,数据包是先后匹配了防火墙的那些规则出去,又通过了那些规则匹配回到192.168.1.10?
这是整个数据包流向的问题
1、你回答正确;我五体投地,佩服之情如滔滔江水...
2、你回答错误;你还需要好好学习,别再误人子弟啦
3、你不回答;,唉!烂泥敷不上墙啊!!!

论坛徽章:
0
33 [报告]
发表于 2007-05-20 10:32 |只看该作者
长见识,还有这样的人.

这篇文章说的你搞清楚了吗?
http://security.ccidnet.com/art/1101/20061214/976177_1.html
原文说的更清楚.
http://www.novell.com/coolsolutions/feature/18139.html
服了你,你用这篇文章就是自己打自己的嘴.

[ 本帖最后由 wysilly 于 2007-5-20 10:36 编辑 ]

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
34 [报告]
发表于 2007-05-20 10:39 |只看该作者
http://www.billauer.co.il/ipmasq-html.html


哈哈..还是改正是我以前的一些错误观点..

不过遗憾的是把自己的测试机玩死了..回到公司才行咯

iptables -P OUTPUT DROP后啥都死了.....

论坛徽章:
0
35 [报告]
发表于 2007-05-20 10:44 |只看该作者
原帖由 枫影谁用了 于 2007-5-20 10:39 发表于 34楼  
不过遗憾的是把自己的测试机玩死了..回到公司才行咯
iptables -P OUTPUT DROP后啥都死了.....

这是肯定的啊,你和测试机之间是“直接”的关系,而不是“间接”

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
36 [报告]
发表于 2007-05-20 10:47 |只看该作者
原帖由 platinum 于 2007-5-20 10:44 发表于 35楼  

这是肯定的啊,你和测试机之间是“直接”的关系,而不是“间接”


嗯,thank you.

退一步,打个比方
/sbin/iptables -P OUTPUT DROP后,nat还是可以的.
一个贴子,http://www.billauer.co.il/ipmasq-html.html

[ 本帖最后由 枫影谁用了 于 2007-5-20 11:31 编辑 ]

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
37 [报告]
发表于 2007-05-20 11:33 |只看该作者
呵呵..就算/sbin/iptables -P OUTPUT DROP...

那nat也不会有影响.

问题在于区分出何是间接,何是直接.

[ 本帖最后由 枫影谁用了 于 2007-5-20 11:36 编辑 ]

论坛徽章:
0
38 [报告]
发表于 2007-05-20 11:46 |只看该作者
原帖由 枫影谁用了 于 2007-5-20 10:47 发表于 36楼  


嗯,thank you.

退一步,打个比方
/sbin/iptables -P OUTPUT DROP后,nat还是可以的.
一个贴子,http://www.billauer.co.il/ipmasq-html.html

正解,NAT 和 filter 表的 INPUT/OUTPUT 链丝毫没有任何关系!
为此我还特意做了实验,内网 ping 外网,GW 的 OUTPUT 规则为空,iptables -P OUTPUT DROP 执行后内网不受任何影响

希望那位爱较真的朋友能自己动手做做实验,听听别人意见,嘴里放干净些

论坛徽章:
0
39 [报告]
发表于 2007-05-20 15:32 |只看该作者
原帖由 枫影谁用了 于 2007-5-20 11:33 发表于 37楼  
呵呵..就算/sbin/iptables -P OUTPUT DROP...

那nat也不会有影响.

问题在于区分出何是间接,何是直接.



:em11: 他们在忽悠你呢,忽悠,就会忽悠,除了忽悠还是忽悠啊,没点实质的东西。

你这种测试的态度很好,不过方法还可以优化一下
“iptables -P OUTPUT DROP后啥都死了”,如果你OUTPUT链没有任何ACCEPT规则的话,那肯定死,这条规则下去所有从这个机器出去的数据全被DROP啦,也就是说你肯定连不上防火墙网关啦,无论外网内网。

给你推荐一个好的测试方法,不需要DROP任何数据就可以检查确认内网数据是否经过OUTPUT链检查:
1)确认你的防火墙是开的
    #iptables -L

2)确认你的内网可以访问外网
   内网机器 ping 外网
   Pinging jupiter.sina.com.cn [202.108.33.32] with 32 bytes of data:
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249

3)在防火墙里OUTPUT链首增加一条LOG规则
#iptables -I OUTPUT 1 -j LOG --log-prefix="OUTPUT From here: "
这句话的意思是说在OUTPUT 链首插入一条规则:当有数据到OUTPUT链来接受检查的时候,就记日志,日志的前缀为OUTPUT From here:

现在防火墙的OUTPUT链规则如下
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            LOG level warning prefix `OUTPUT From here: '
...
...

...表示其他规则

4)再从内网机器 ping 外网,然后检查日志
   Pinging jupiter.sina.com.cn [202.108.33.32] with 32 bytes of data:
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249
Reply from 202.108.33.32: bytes=32 time=15ms TTL=249
Reply from 202.108.33.32: bytes=32 time=16ms TTL=249

这时候,如果日志里
A:没有记载OUTPUT From here....的包那么,证明从内网发起的ping包确实没经过防火墙OUTPUT链的检查
B:如果有记载OUTPUT From here....的icmp包,那么证明从内网发起的ping包一定是经过防火墙OUTPUT链的检查

检查防火墙日志得到事实的真相
# cat /var/log/messages|grep "OUTPUT From here"|grep -i icmp

May 20 15:17:00 firewall kernel: OUTPUT From here: IN= OUT=eth0 SRC=192.168.18.6 DST=202.108.33.32 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=13 DF PROTO=ICMP TYPE=8 CODE=0 ID=36360 SEQ=13
May 20 15:17:00 firewall kernel: OUTPUT From here: IN= OUT=eth0 SRC=192.168.18.6 DST=202.108.33.32 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=13 DF PROTO=ICMP TYPE=8 CODE=0 ID=36360 SEQ=13

如果有类似以上输出,那说明ping的icmp包经过防火墙OUTPUT链的检查;没有就找把刀来把我砍死算啦

测试完了后可以将刚才加的iptables -I OUTPUT 1 -j LOG --log-prefix="OUTPUT From here: "规则删除以恢复以前防火墙配置
#iptables -D OUTPUT 1


最后一次确定一定以及肯定并100%负责地申明一次:任何通过网关防火墙的数据一定通过网关防火墙的OUTPUT链的检查。

论坛徽章:
0
40 [报告]
发表于 2007-05-20 15:55 |只看该作者
你认为正确的就是正解的了,兄弟我认可你的一点就是,不轻信别人(或者说勇于怀疑一切),我不认可你的一点也是这个,不肯信任别人。

很多事情都是这样,可以说没什么可争的。对错不重要,要有好的心态。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP